pecompact2脱壳手记

忽然心血来潮想来脱壳了,想起以前那款半路放弃的pecompact2.55的壳。从网上下了个pecompact2.70,对记事本加壳。加壳后,od载入,到达入口
    eax

上来就设置seh,开始以为要转向0101ba24,在0101ba24处设个断点,竟然没有调用到, 01001016处触发异常,
    ZwRaiseException

跟踪至call ZwContinue处,程序跑飞,呵呵,系统函数,竟然跑飞,我再运行,在这里F7跟进,
7C90D05E >  B8 20000000     mov     eax, 20
7C90D063    BA 0003FE7F     mov     edx, 7FFE0300
7C90D068    FF12            call    dword ptr [edx]
7C90D06A    C2 0800         retn    8
跑到7c90d063处,提示KiFastSystemCall,再运行,又飞,上网查ZwContinue的用法,得知进入ZwContinue后,[[esp+4]+B8]处是转向的地址,这个函数我以前在不少书上看到过了,不过看过也没用,用到时记不住,相当于白看了。事非经过记不住啊。查知该处的值为0100739d,这个转移可不小,看样子应该到了OEP了,不过什么程序入口点长成这个样子,记得C程序第一句一般都是push ebp
    ebx

不理他接着跟,越下看越怀疑,怎么开始初始化C运行库了,打住暂停,DUMP出来再说,保存。运行,一切正常。查壳,VC 7.0 Over。

相关文章:

  • 2021-06-23
  • 2021-08-12
  • 2021-08-04
  • 2021-08-20
  • 2022-12-23
  • 2022-01-08
  • 2022-02-19
猜你喜欢
  • 2022-12-23
  • 2021-05-16
  • 2021-10-17
  • 2021-09-02
  • 2022-01-23
  • 2021-12-14
  • 2021-08-21
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode